Solución de problemas de latencia de Sensor
Artículos técnicos ID:
KB70861
Última modificación: 25/02/2021
Última modificación: 25/02/2021
Entorno
McAfee Network Security Sensor Appliance
Resumen
Antes de comenzar:
- Lea el Guía de la Sensor de la CLI de NSP para su versión de software. Ve docs.mcafee.com para esta guía.
- Determine las respuestas a las siguientes preguntas:
- ¿Cuándo se detectó por primera vez la latencia y se mostraban eventos inusuales en la red?
Para determinar si se han producido problemas al mismo tiempo que la latencia, revise los registros de firewall, enrutador y cambio. Resuelva estos problemas. A continuación, monitor su Sensor y confirme que se ha resuelto la latencia.
- ¿Ha modificado su red o la configuración de Sensor justo antes o durante el tiempo que se vio la latencia?
Si revierte estos cambios, ¿se ha resuelto el problema?
- Determine qué software Sensor se está ejecutando en el Sensor. ¿Es la versión más reciente? Para obtener información sobre la versión, consulte: KB55448: información actual de la versión de Network Security Platform
Si el software de Sensor no es la última versión, amplíelo para ver si se resuelve el problema.
- ¿Cuánto tráfico de red es el Sensor de análisis y se encuentra dentro de la capacidad del Sensor?
NOTA: Un problema de latencia suele estar relacionado con problemas de paquetes eliminados. A menudo, cuando se observa una latencia en un Sensor, también se producen paquetes perdidos.
- ¿Cuándo se detectó por primera vez la latencia y se mostraban eventos inusuales en la red?
- Abra una sesión de línea de comandos en la Sensor a través de HyperTerminal, de PuTTy o de otra aplicación.
NOTA:: Inicie el registro de sesión en la aplicación de conexión. Si el problema sigue presente cuando la sesión haya finalizado, guarde los registros. Consulte la documentación del producto para obtener información sobre los pasos necesarios para guardar los registros.
- Si el Sensor está ejecutando la versión de software 8.3 o posterior, recopile la salida del comando Mostrar estado de función.
Para obtener más información, consulte la guía de CLI de Sensor correspondiente a su versión de software.
- Inicie la depuración de latencia mediante el aislamiento del par de puertos que muestra la latencia. Escriba los siguientes comandos, ya sea Sensor-Wide o en la interfaz de destino, y pulse Intro después de cada uno de ellos:
show intfport
Por ejemplo,show intfport 1A/1B/etc . Para obtener más información sobre lashow inftport comando, consulte: KB54660-Sensor comando: show inftport
show inlinepktdropstats
Por ejemplo,show inlinepktdropstats 1A/1B/etc . Para obtener más información sobre lashow inlinepktdropstats comando, consulte: KB69806-Sensor solución de problemas: mostrar comando de inlinepktdropstats
Salida de muestra a continuación:
intruShell@IPS-5200> show inlinepktdropstats g1/1
IP Checksum Error Drop Count : 0
TCP Checksum Error Drop Count : 0
UDP Checksum Error Drop Count : 0
ICMP Checksum Error Drop Count : 0
ICMPv6 Checksum Error Drop Count : 0
ACL Drop Count : 0
Out-Of-Context/Bad Packet Drop Count : 0
Cold Start Drop Count : 0
Off/HdrLen Error Drop Count : 0
Attack Packet Drop Count : 0
IP Reassembly Timeout Drop Count : 0
IPv6 Reassembly Timeout Drop Count : 0
TCP Out-Of-Order Timeout Drop Count : 0
TCP Protocol Error Drop Count : 0
UDP Protocol Error Drop Count : 0
ICMP Protocol Error Drop Count : 0
ICMPv6 Protocol Error Drop Count : 0
IP Protocol Error Drop Count : 0
IPv6 Protocol Error Drop Count : 0
System Out-of-Resource Drop Count : 0
Host Quarantine IPv4 Packet Drop Count : 0
Host Quarantine IPv6 Packet Drop Count : 0
Conn Limiting/L7ddos Packet Drop Count : 0
DoS Attack Packets Dropped : 0
Stateless ACL Drop Count : 0
Total CRC Error Packets Dropped : 0
Total Other Layer-2 Error Packets Dropped: 0
Total IP Spoofed Packets dropped : 0
Total IP No Credit Packets dropped : 0
- Vea el resultado de los comandos en el paso anterior.
- Si observa algún error de CRC o de otro tipo:
- Asegúrese de que la configuración de velocidad/dúplex esté configurada de la misma forma en los dispositivos Sensor y del mismo nivel.
IMPORTANTE: No configure un dispositivo manualmente y defina el otro como negociar automáticamente; deben estar configurados de la misma forma.
- Cambie los cables de conexión para asegurarse de que el problema no es un cable defectuoso. Utilice los cables correctos conocidos cuando sea posible.
- Asegúrese de que la configuración de velocidad/dúplex esté configurada de la misma forma en los dispositivos Sensor y del mismo nivel.
- Si ve un recuento de paquetes de cuarentena de host positivo:
Compruebe la existencia de IP en cuarentena en Manager y compruebe si el tráfico afectado es uno de los hosts en cuarentena.
- Si ve un alto
Conn LimitaciónL7ddos Valor de drop de paquete:
Compruebe las directivas de limitación de la conexión y el DoS de servidor en las directivas de opciones de inspección.
- Si ve un valor elevado de DoS de ataque, se ha interrumpido el paquete:
Compruebe los registros de ataque para ver si se está activando DoS ataques relacionados.
- Si ve un recuento de listas de control de acceso sin estado:
Compruebe las directivas de Firewall para las reglas de ACL según corresponda
- Si observa algún error de CRC o de otro tipo:
- Ponga la Sensor en modo Layer2. Escriba el siguiente comando y pulse Intro:
layer2 mode assert
- Reproduzca el problema:
- Si coloca la Sensor en modo Layer2 y no resuelve el problema:
El software Sensor no provoca la latencia. Al colocar la Sensor en modo Layer2, el Sensor actúa como concentrador y es invisible para la red. Dado que el software Sensor se elimina como causa, el problema se debe al hardware del sensor o a otro lugar. (Sensor hardware puede incluir interfaces, cables o kits de errores abiertos.)
Intente utilizar otras interfaces, cables o kits de error de apertura conocidos o omitir físicamente el Sensor. Si estas acciones no resuelven el problema, McAfee recomienda que utilice un analizador de red para inspeccionar el tráfico de red y solucionar el problema.
- Si el problema se ha resuelto:
- Saque el Sensor del modo de Layer2:
Escribalayer2 mode deassert y pulse Intro.
- Asegúrese de que la Sensor esté fuera de Layer2:
Escriba Estado y pulse Intro.
El estado correcto es:
Layer 2 Status : normal (IDS/IPS/NAC).
- Continúe con la solución de problemas.
- Saque el Sensor del modo de Layer2:
- Si coloca la Sensor en modo Layer2 y no resuelve el problema:
- Establezca la Sensor para equilibrar la carga del tráfico antes de que se envíe al procesador front-end:
- Escriba
loadbalance pre-fe y pulse Intro. - Asegúrese de que la Sensor tenga equilibrio de carga
pre-fe :
Escribaloadbalance status y pulse Intro.
El estado correcto es:
Primary : Pre-FE
- Escriba
- Establezca la Sensor para que el tráfico de equilibrio de carga publique el procesador front-end:
- Escriba
loadbalance post-fe y pulse Intro. - Asegúrese de que la Sensor tenga equilibrio de carga
post-fe :
Escribaloadbalance status y pulse Intro.
El estado correcto es:
Primary : Post-FE
- Escriba
- Establezca Sensor equilibrio de carga en modo normal para solucionar problemas adicionales:
- Escriba
loadbalance normal y pulse Intro. - Asegúrese de que el equilibrio de carga de Sensor esté configurado como normal:
Escribaloadbalance status y pulse Intro.
El estado correcto es:
Primary : (null)
- Escriba
- Desactive el procesamiento de paquetes de layer3 en el Sensor mediante el modo de depuración Sensor:
- Escriba el siguiente comando y pulse Intro:
debug
- Escriba el siguiente comando y pulse Intro:
set l3 off
- Escriba el siguiente comando y pulse Intro:
- Reproduzca el problema y examine el resultado:
Si al desactivar la opción Desactivar layer3 se resuelve el problema, está relacionado con el procesamiento de paquetes de layer3 en la Sensor. Tenga en cuenta este detalle e inclúyalo cuando abra una solicitud de servicio.
- Vuelva a activar el procesamiento de paquetes de layer3 y continuar con la solución de problemas. Escriba el siguiente comando y pulse Intro:
set l3 on - Compruebe si la fragmentación de IP (función layer3) es la causa del problema al desactivarlo:
- Escriba
debug y pulse Intro. - Escriba
set ipfrag off y pulse Intro.- Si al desactivar la fragmentación de IP se resuelve el problema, Compruebe la existencia de paquetes fragmentados en la red.
- Si no se realiza ningún cambio, activar la fragmentación de IP y continuar con la solución de problemas:
Escribaset ipfrag on y pulse Intro.
- Escriba
- Apaga Procesamiento de paquetes y detección de ataques de Layer7 en la Sensor:
- Escriba el siguiente comando y pulse Intro:
set l7 off - Compruebe si se han resuelto la latencia y otros problemas o si se ha reducido su impacto:
- Si la latencia/problemas se reducen o resuelven, un paquete Layer7 específico del tráfico provoca el problema. Si se sospecha que un determinado protocolo es la causa, utilice las ACL para aislar Sensor latencia.
Cree una lista de control de acceso que elimine el protocolo sospechoso de la inspección. Cuando se define una ACL para un protocolo específico, la Sensor ignora el protocolo y el Protocolo no se inspecciona internamente.
Véase la Guía de configuración de IPS para obtener más información sobre la creación de ACL en su versión de software.
NOTA: Debe volver a activar Layer7 para que las ACL funcionen. Escriba establecer L7 relativa y pulse Intro.
- Si se detecta que un determinado protocolo es la causa de la latencia:
- Tome nota del protocolo, así como del servidor/host de origen y el destino.
- Recopile una captura de este tráfico si es posible e incluya estos detalles cuando abra su solicitud de servicio.
- Active el procesamiento de paquetes de Layer7 y la detección de ataques, escriba el siguiente comando y pulse Intro:
set l7 on - Mover a la siguiente paso numerado y continuar con la solución de problemas.
- Si no se encuentra en la causa de la latencia:
- Registre las ACL configuradas y los protocolos eliminados.
- Active el procesamiento de paquetes de Layer7 y la detección de ataques, escriba el siguiente comando y pulse Intro:
set l7 on - Mover a la siguiente paso numerado y continuar con la solución de problemas
- Si se detecta que un determinado protocolo es la causa de la latencia:
- Si no se reducen las latencias/problemas:
Active el procesamiento de paquetes de Layer7 y la detección de ataques y continúe con la solución de problemas. Escriba el siguiente comando y pulse Intro:
set l7 on
- Si la latencia/problemas se reducen o resuelven, un paquete Layer7 específico del tráfico provoca el problema. Si se sospecha que un determinado protocolo es la causa, utilice las ACL para aislar Sensor latencia.
- Escriba el siguiente comando y pulse Intro:
- Recopile información sobre la memoria, el consumo de carga Sensor, la latencia monitor y el nivel de depuración del rendimiento, así como detalles relacionados con el tráfico TCP, UDP, ICMP y fragmentado.
NOTA: Antes de llevar a cabo los pasos siguientes, activar los registros de sesión en el paquete utilizado para utilizar la sesión de línea de comandos (HyperTerminal o PuTTy).
- Escriba los siguientes comandos y pulse Intro después de cada uno para obtener la información:
latency-monitor enable action alert-only or latency-monitor enable action layer2-forward
NOTA: El modo Layer2 debe estar activado para que la acción Layer2-Forward surta efecto. Debe ejecutar el comando modo de Layer2 activado para activar el modo de Layer2.latency-monitor status sensor perf-debug
NOTA: Asegúrese de establecer el tiempo suficiente para completar los pasos siguientes. Por ejemplo, para activar Perf-Debug durante 15 minutos:sensor perf-debug 15 .sensor perf-debug status set sensor-load on - Ejecute los siguientes comandos en orden:
IMPORTANTE: Debe ejecutar el conjunto completo al menos tres veces para recopilar datos suficientes a lo largo del tiempo.show sensor-load sensor perf-debug show
NOTA: Debe ejecutar el comando en el marco de tiempo especificado al ejecutar Perf-Debug del sensor.sensor-datapath-stat-analysis show datapathstat core all parameter all show tcpipstats show flows show mem-usage show intfport (por ejemplo,show intfport 1A/1B/etc )show inlinepktdropstats (por ejemplo,show inlinepktdropstats 1A/1B/etc )show statistics l4 show statistics tcp show statistics udp show statistics icmp show statistics ipfrag
bcmcli "ports"
bcmcli "show counters"
bcmcli "show counters all"
bcmcli "ps"
bcmcli "vlan show"
bcmcli "trunk show"
l7dpstat
show datapath processunits
show all datapath error-counters
show statistics l4
l7show
show attack count
show statistics alerts
rspstat
show fe stat
- Tras ejecutar los comandos anteriores al menos tres veces, ejecute los siguientes comandos una vez:
carga del sensor Perf-Debug: protoStats
establecer sensor: carga desactivadasensor perf-debug off
- Escriba los siguientes comandos y pulse Intro después de cada uno para obtener la información:
- Salir del modo de depuración. Escriba Habilite y pulse Intro.
- Recopilar la SSH registros de sesión y
tracelogs . Para obtener información sobre cómo recopilar un seguimiento de diagnósticos del Sensor (Trace. log), consulte: KB55549-cómo recopilar un rastreo de diagnósticos de Network Security Platform Sensor (rastreo. log)
Proporcione ambos registros para Soporte técnico cuando abra una solicitud de servicio e incluya los siguientes detalles:- ¿La desactivación de los procesos de capa 2, capa 3 o capa 7 tiene un efecto?
- ¿Sabe si algún protocolo puede ser el responsable de la latencia?
- ¿Qué aplicaciones se ven afectadas por la latencia?
- ¿Se habían realizado cambios en la red, las aplicaciones o el Sensor afectados aproximadamente en el momento en que comenzó la latencia?
- ¿Qué versión anterior del software estaba instalada en el Sensor?
- ¿Cuánto tiempo se ha instalado la versión del software actual sin que causara latencia?
Para ponerse en contacto con Soporte técnico, vaya a la Página crear una solicitud de servicio e inicie sesión en ServicePortal.
- Si es un usuario registrado, escriba su ID de usuario y contraseña y, a continuación, haga clic en iniciar sesión.
- Si no es un usuario registrado, haga clic en registrar y rellene los campos para que la contraseña y las instrucciones se envíen por correo electrónico.
Información relacionada
Para obtener los documentos del producto, vaya al portal de documentación del producto.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
Productos implicados
Idiomas:
Este artículo se encuentra disponible en los siguientes idiomas:
GermanEnglish United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified
